Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4097 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing and DMZ

RedHorse
Hi!

I have to realize the following solution:

Public IP: 1.2.3.4
Internal network: 192.168.0.0/24
Provider router (default gateway): 192.168.0.254
Astaro 9: 192.168.0.253
DMZ (reachable from internet): 192.168.1.0/24

The Astaro only exists to separate the DMZ from the internal network. The provider router uses DNAT to translate the Destination IP from 1.2.3.4 to 192.168.1.100 (web server). The provider router knows that the subnet 192.168.1.0/24 is behind 192.168.0.253.

Is that secure? I'm not sure because the router IP (Astaro) is an IP in the internal subnet. In addition to that connections from the internal subnet to the dmz will have two different ways:

Internal -> DMZ: 192.168.0.1 (client) -> 192.168.0.254 (default gw) -> 192.168.0.253 (Astaro) -> 192.168.1.1 (webserver dmz)
DMZ -> Internal: 192.168.1.1 (webserver dmz) -> 192.168.0.253 (Astaro as default gw) -> 192.168.0.1 (direct connection to client)

So the routing DMZ -> Internal is not the same because the provider router is not necessary.

Perhaps someone has an idea?

Greetings!


This thread was automatically locked due to age.
  • 0
    Hi,

    Your life will be much easier if you can get the provider to bridge their router.

    Also, your LAN should not use the same network address range as your router (192.168.0.0/24).

    Barry
  • 0 in reply to BarryG
    Hi,

    Your life will be much easier if you can get the provider to bridge their router.

    Also, your LAN should not use the same network address range as your router (192.168.0.0/24).

    Barry


    Both is not possible because that Router connects the internal LAN to a dedicated Provider network. The Router is Default Gateway for the internal LAN, Astaro should only be used for connecting DMZ.
  • 0
    This should be possible, but you will be doing double-NAT.
    I still recommend bridging the router.

    What is a "dedicated Provider network"? MPLS?

    You want the webserver to be where? In the new DMZ?

    Barry
  • 0 in reply to RedHorse
    Both is not possible because that Router connects the internal LAN to a dedicated Provider network. The Router is Default Gateway for the internal LAN, Astaro should only be used for connecting DMZ.


    Yes it's MPLS. So the network design is:

    Astaro Appliance (internet breakout) with IP 1.2.3.4 -> MPLS -> Provider router at our location (192.168.0.254) -> Astaro 9 (192.168.0.253) -> DMZ Webserver (192.168.1.1)

    Why double-NAT? The destination IP will be NATted by arriving the Astaro Appliance from 1.2.3.4 to 192.168.1.1, then the packets will be routed to the DMZ webserver through MPLS, Provider router and Astaro 9.

    If a client inside my network 192.168.0.0/24 send a request to the webserver the request will be routed to the Provider router (default gw) and Astaro 9 BUT the reply won't pass the Provider router because Astaro 9 is directly connected to the client network. That's what makes me thinking about that solution. Could this be a problem? 

    Should both interfaces of the Astaro 9 be in a separate network which is devided from the internal LAN, where clients and servers a located?

    What would be the advantage of bridging the router? I don't want to use the Astaro 9 as a default gateway in our LAN because only the dmz traffic should pass that firewall. We use the astaro appliance as an internet breakout in the central of MPLS.

    Thank you for your help!
  • 0
    If all your networks know how to route to 192.168.1.1, then you don't need more NAT.

    If you still have questions, could you post a diagram of your current network (including the 192.168.0.0/24 LAN), and a diagram showing the addition of the new Astaro and DMZ?

    Barry
  • 0
    Are cney and RedHorse working on the same network, or just on similar problems?

    Cheers - Bob
    PS Building RED tunnels between ASG/UTMs is much less expensive than MPLS.